Integritet – Anteckningarna.org

“Augmented Identity” – kommer du att opta in eller hur vi annoterar verkligheten med tystnader…

2010-02-23 Nicklas Lundblad

Polar Rose och TAT lanserar recognizr, en tjänst som i princip skulle göra det möjligt att peka mobilen på någon och “få reda på vem det är” som MIT Technology Review uttrycker det. Integritetsfrågorna infinner sig som en flock ilskna terriers, förstås, och det har innovatörerna funderat på. Så bara den som laddar upp ett foto som bas för igenkänningen och skapar en profil kommer att kunna identifieras på detta sätt. (Ja, um, för kontrollen över foton av oss är ju så, eh…bra?).

Men det som intresserar mig i första hand är inte just integritetsfrågorna i sig, utan frågan om hur man bäst skyddar sin integritet här: genom att opta in eller opta ut. Det slår mig att det faktiskt verkar bättre att ta kontrollen över sin profil och producera sin identitet än att stillatigande riskera att antingen någon annan gör det, eller – värre: att frånvaron av data när den blivande kunden pekar sin mobil på dig tas som ett negativt tecken.

Om jag optar in kan jag ju producera min profil, länka en massa information till bilden av mig och öka kostnaderna för att försöka utvärdera den informationen ordentligt. Jag kan skydda mig, som Nietzsche skulle sagt, genom att prata mycket om mig. I bästa fall så mycket att jag bokstavligen inte syns bakom alla de olika små datamoln som i telefonen ploppar upp bredvid min fagra nuna.

Teknik som denna kommer att fortsätta att utvecklas. Vi annoterar verkligheten runt om oss, fyller den med data och skriver i den virtuella marginalen. Vår anteckningar kan sedan skördas av alla som följer oss. Det är bara en fråga om tid tills den första deckaren om augmenterad verklighet kommer. Polisen kan infinna sig på platsen och leta igenom spår och anteckningar, geografiskt förankrade tweets och 4sq-inloggningar och försöka se mönster, leta igenom de öppna nätverken och api:erna efter de skugglika mönster som mördaren inte lämnat efter sig. Notera att det nämligen riskerar att bli så att när du inte lämnar spår så förvandlas dessa anomalier till data i sig. Greppet är knappast nytt i deckarlitteraturen. Visst minns ni väl mysteriet med hunden i Sherlock Holmes? Hunden som inte skällde? När du inte loggat in på ett tag, inte tweetat, vad säger då dessa tystnader om dig?

Jag har funderat på det på sistone. Jag har ett antal tystnader i bloggen och i övrigt på olika onlineforum som hänger oförklarliga och mystiska över min identitet. Den senaste tystnaden kommer sig förstås av att jag håller på att packa och ordna alla saker, men det är inte utan att jag kan tycka att dessa tystnader nu är det mest intressanta. Jag kan komma på mig med att leta upp bloggar och twitterkonton och betrakta, fascinerad, mina vänners tystnader, deras frånvaro. Här finns en nästan existentialistisk nyfikenhet på hur kaféet utan Pierre översätts till Facebook utan X. Vågorna, mönstren, floden och ebben i vår onlinenärvaro beskriver något i våra liv. Vissa gånger syns en nästan manisk/depressiv fasordning. Andra uppvisar en jämn, närmast plikttrogen närvaro som skvallrar om en lutheranism stöpt i ettor och nollor.

Ett utkast till en biografi: de dagar då jag inte fanns online. De dagar inga mejl skickats. De dagar inget twittrats. De dagar statusen dammat och uppdateringarna uteblivit. De dagar ingen pekat på mig med sin telefon.

Titeln: Offline.

En biografi med den ambitionen skulle också omfamna en annan dygd: koncentrationen i uttrycket, och den skulle dessutom bli ganska kort.

Det är synd om FRA…

2009-09-11 Nicklas Lundblad

I den terroristkonspiration som uppdagats i Storbritannien finns det mycket som är skrämmande. Men det finns också en del som borde leda till politisk eftertanke vad avser den svenska inrikespolitiska diskussionen om FRA. Det bärande argumentet för den typ av spaning som lagen gäller har ständigt varit att det med lagen blir möjligt att öka medborgarnas säkerhet med rätt sorts övervakning. Om FRA-lagen kunde användas till att förebygga händelser som de i Storbritannien så, ja, då kanske det vore värt integritetsintrånget.

Men FRA-lagen skulle ha varit hjälplös i det aktuella fallet. Automatiserad inhämtning efter sökbegrepp bygger nämligen på den grundläggande förutsättningen att terroristerna är artiga nog att använda sökbegrepp som gör det möjligt att hitta dem i den växande floderna av internetbrus. De brittiska terroristerna var inte så medgörliga. Se bara på några av de brev de skickade:

Listen dude, when is your mate gonna bring the projectors and the taxis to me? I got all my bits and bobs. Tell your mate to make sure the projectors and taxis are fully ready and proper I don’t want my presentation messing up.

[…]

I spoke to my friend and he will soon sort the prices for the telephones… Everything is going good here. Will need to send you some CDs and DVDs over to you soon. Don’t forget to call me.

[…]

Hi gorgeous. Well nice to hear from you… Your friend can go for his rapping concert rehearsal… But somewhere popular would be good… make sure he goes on the bus service which is most common over there

Som FRA-lagen nu är konstruerad ska FRA presentera sökbegrepp som ska godkännas och som sedan kan användas för att avlyssna trådbunden trafik, men titta noga på citaten ovan. Vilka sökbegrepp skulle du föreslå att man använde för att hitta information som denna? En ansökan enligt FRA-lagen skall vara utformad på följande sätt:

En ansökan om tillstånd ska innehålla uppgifter om
1. det inhämtningsuppdrag som ansökan avser, med en närmare redogörelse för det underrättelsebehov som föranleder ansökan och angivande av vilken inriktning enligt 4 § uppdraget hänför sig till,
2. vilken eller vilka signalbärare avseende signaler i tråd som signalspaningsmyndigheten behöver ha tillgång till för att fullgöra uppdraget,
3. de sökbegrepp eller kategorier av sökbegrepp som är avsedda att användas vid inhämtningen,
4. vilken tid tillståndet ska gälla, och
5. de förhållanden i övrigt som myndigheten vill åberopa till stöd för sin ansökan.

Fundera litet kring hur du skulle formulera uppgifterna som efterfrågas i 3. Taxibilar? Bussar? Presentationer? Projektorer? Snygging? Eh…visst informationsöverskott skulle kanske bli resultatet.

Låt oss ställa en rak och enkel fråga. Hade något av mejlen som skickades om planerna i Storbritannien kunnat fångats med hjälp av signalspaning utförd med stöd av FRA-lagen? Om svaret är ett entydigt nej – och det tror jag att det är – så visar det två saker: för det första hur litet lagen kommer att betyda för vår säkerhet och för det andra hur oerhört lätt det är att bara använda enkla, närmast steganografiska metoder för att försvinna ur söknäten.

Polispubliceringar, integritet och ett tentativt försvar för en pliktetisk hållning i nätpolitiken

2009-08-29 Nicklas Lundblad

Polisen i Skåne tillkännagav nyligen att de planerar publicera bildmaterial som framkommit i utredning för att se om de kan hitta de personer som syns på bilderna. Publiceringen kringgärdas av ett antal olika villkor. Det kanske viktigaste är att det skall röra sig om brottsmisstänkta personer. Det betyder att polisen inte kan publicera bilder på någon som de tror att det skulle kunna ha nytta av att tala med i utredningen bara för att få tag på denna person – eller skulle kunna betyda detta i alla fall. Den misstänksamme anför möjligen att det går att misstänka vemsomhelst för vilket brott som helst, och att inskränkningarna inte är särskilt betydande. Vidare skall det gälla brott där två års fängelse ingår i straffskalan (men inte nödvändigtvis utgör minimistraffet). De andra inskränkningarna och säkerhetsåtgärderna handlar om processen och beslutsgången.

Hur bör det fria samhället ställa sig till publiceringar av detta slag?

Innan vi djupdyker i den frågan kan det vara intressant att diskutera en annan sorts polispubliceringar: nämligen publicerandet av bilder på dömda brottslingar. I det fallet rör det siog om publiceringar som ligger nära forna tiders skamstraff och dessa publiceringar kan endast motiveras med allmänpreventiva eller individualpreventiva teorier. Det försvårar för brottslingen att begå ett nytt brott, eller avskräcker andra från att begå brott i och med att ett betydande socialt stigma fogas till övriga påföljder. Skamstraffen har utrangerats ur straffrätten i ganska hög utsträckning, kanske på grund av att de anses vara otidsenliga. (De rester som finns kvar återfinns i upphovsrätten, där regler om att den dömde skall bekosta publiceringen av en dom mot sig själv intressant nog infördes i och med de senaste ändringarna i upphovsrättslagen – det finska lagutskottet tyckte att detta var en så kontroversiell regel att man valde att tydligt säga att personers fysiska namn inte skall publiceras!) Effekten av skamstraffen är också tveksamma. Det finns inga storskaliga studier som visar att de fungerar som avsett – det enda som studier visar sker är att de får svårare att återanpassa sig till samhället, och detta i sin tur ökar risken för återfall i brott.

Sannolikt är denna typ av publiceringar alltså knappast samhällseffektiva eller försvarbara.

När det gäller polispubliceringar under utredningsfasen skiftar motiveringen. Plötsligt blir det möjligt att tänka sig ett tredje skäl till att låta publicering ske – nämligen att det ökar sannolikheten att man kan gripa den som misstänkts för ett brott. Det finns i detta en individualpreventiv och allmänpreventiv komponent, men det kanske viktigaste är att publiceringen kan sägas öka den uppklarningsprocent som finns för olika brott. I dag är den förhållandevis låg för en hel del brott. Trots att vi har 67% uppklarningsprocent för brott med dödlig utgång (2008) har vi 32% för grov misshandel. För våldtäkt är motsvarande siffra 42% och 26% för rån. För brott som inte skulle komma ifråga – som villainbrott – har vi en uppklarningsprocent på 9%. (Siffrorna från BRÅ)

Antag nu, för argumentets skull, att kollaborativ identifiering med hjälp av polispublicering skulle kunna öka uppklarningsprocenten. Fler åker kanske fast. Då skulle detta ha en hel rad olika effekter: dels skulle det ha de preventiva effekter vi talar om, men det skulle framförallt ha legitimitetseffekter: polisens legitimitet skulle öka. Det i sin tur skulle inte bara ha preventiva effekter, utan kanske också leda till att vi kunde minska de olika medel som tilldelas polisen och därmed nå vissa samhällsekonomiska besparingar.

Hur väger vi då dessa fördelar mot de nackdelar som publiceringen innebär? Att oskyldiga kan hängas ut är uppenbart. Vilka principer bör vi arbeta med? Låt oss se på några möjliga förslag.

Utilitaristisk kalkyl. Vi kan räkna på det. Om polispubliceringarna förväntas innebär en genomsnittlig ökning av uppklarningsprocenten på X% så anser vi att det är en rimlig åtgärd. Vi kan ha en mer komplicerad ekvation där preventiva effekter kvantifieras också, sjunkande siffror för begångna brott m.m. kan inkluderas. Kort sagt – vi kan förvandla detta till en sorts Excel-beslut. Då bekymrar inte ändamålsglidning alls, eftersom vi anser att ändamålet bör glida om ekvationen förändras till det bättre.
Principiell diskussion. Vi kan söka efter principer som skall hjälpa oss i beslut som detta. Det finns flera olika möjliga alternativ: “Absolut rättighet”-principen skulle kunna antas betyda att det under inga omständigheter är rätt att kränka den personliga integriteten. Resonemang som detta för vi redan när det gäller kroppsstraff. Om polisen kunde tortera skulle det sannolikt leda till preventiva effekter såväl som ökande uppklarningsprocent, men vi är inte ens beredda att diskuetar det. Diktaturprincipen är en annan möjlighet: enligt denna bör vi utforma statens rättigheter (och där inkluderar jag just nu polisens) utifrån att de skall kunna ärvas på kort tid av en diktatur och inte innebära ett hot mot medborgarna. På basis av denna princip skulle vi exempelvis kunna avråda från polispubliceringar för att om de används av en diktatur skulle de kunna bli ett oerhört effektivt kontrollverktyg.[1] Ekvivalensprincipen skulle också kunna tillämpas. Antag att vi anser att detta nya tekniska förfarande bara tillåter polisen att göra vad den redan kunnat göra men mer effektivt: då skulle vi kunna hävda att det är oproblematiskt bara för att det är ekvivalent med vad som redan sker och därför legitimt. Argumenten för en sådan hållning skulle kunna vara att polisen redan kan publicera fantombilder och liknande bildmaterial.

De flesta landar i den utiltaristiska kalkylen, och det tycks också polisen ha gjort. Det syns inte minst på deras försök att bygga en process som skall ta hänsyn till och försöka minska riskerna för att polispublicering missbrukas. I själva verket kan det vara värt att försöka fundera kring den principiella diskussionen också.

En mer pliktetisk politisk debatt skulle i detta fall inte vara fel: den nya teknikens lockelser kanske bäst kan mötas med principer i stället för med svårgrundande räkneförsök?

[1] Vän av ordning påpekar att en diktatur kan införa en sådan regel med lätthet. Svaret på det är att det givetvis stämmer – men då är det diktaturen som måste ta kostnaden ur ett legitimitetsperspektiv för det. Om vi redan demokratiskt infört mekanismer som kan användas av en diktatur behöver de endast ändra tillämpningen av mekanismen och då blir det billigare för diktaturen att angripa sitt folk.

En kunskapsfrihetsombudsman? Institutionell innovation för informationssamhället…

2009-08-07 Nicklas Lundblad

Samhälleliga institutioner som skyddar olika grundläggande värden är i Sverige knappast okända. Ombudsmannainstitutionen är en av de svenska statsvetenskapliga storexporterna, med varierande resultat. Varefter den svenska ekonomin och samhällsorganisationen går in i informationssamhället kan det vara värt att ägna tid åt att fundera kring hur en optimal institutionell ordning för värnandet av grundläggande värden skulle kunna se ut.

Vi har redan en datainspektion. På sistone har denna blivit både mer uttalat aktiv och nyttig för att främja den personliga integriteten och det är uppenbart att datainspektionens roll i det öppna informationssamhället är självskriven. Datainspektionen lever emellertid än så länge i ett relativt vakuum. Det finns få andra institutioner som värnar grundvärdena i informationssamhället.

Det finns de som hävdar att immaterialrätten naturligt förvandlas till ett sådant grundvärde, och därför begär institutionella reformer som ska ge just immaterialrätten extra stöd. Det sker genom tillskapandet av privata organisationer, men också genom ett politiskt inflytandearbete som gett till resultat att det nu inom den etablerade åklagarinstitutionen finns specialiserade roller för att bevaka och lagföra just intrång i immaterialrätten.

De som häremot hävdar att informationsfrihet och kunskapstillgång är grundläggande värden är egentligen de enda som inte har gjort sitt grundarbete. I triangeln mellan integritet, informationsfrihet och immaterialrätt är integriteten och till viss mån immaterialrätten redan inrättade i proto-institutioner som långsamt hittar sin form. Något värn för kunskapsfriheten finns emellertid inte.

Det vore intressant att resonera kring hur en sådan institution skulle kunna utformas. En kunskapsfrihetsombudsman skulle kunna ha som uppgift att granska och följa samhällets öppenhet kring information, kostnader för informationsaccess, moderniseringen av de klassiska informationsinstitutionerna som biblioteken och tillsynen över det som brukar kallas fair use och kanske också public domain.

Kunskapsfrihetsombudsmannen skulle kunna ges möjlighet att väcka talan i eller försvara medborgare som menade att de åtalats i strid med kunskapsfriheten och dessutom skulle institutionen som remissinstans kunna uttala sig i alla ärenden som på något sätt inskränker medborgarnas access till information – från censur till skärpta regler för privat bruk.

Lagändringar som tillåter upphovsmän att med omedelbar verkan och oåterkalleligt avsäga sig sin upphovsrätt för att garantera att ett verk hamnar i public domain skulle kunna registreras hos kunskapsfrihetsombudsmannen. Särskilda testamentariska förordnanden om att upphovsrätten skulle upphöra efter upphovsmannens död skulle också kunna registreras och hanteras i samma institution.

Kunskapsfrihetsombudsmannen skulle kunna avge uttalanden om vad som kan sägas vara fair use och inte som till och med skulle kunna anses vägledande i rättegångsprocesser. Granskningen av ärenden som gäller offentlighetsprincipen och inte minst tillgången till och vidareutnyttjande av offentlig information skulle kunna inordnas i samma myndighet.

Det skulle knappast saknas uppgifter och tillsynsområden. Med kunskapsfrihetsombudsmannen som den sista pusselbiten i den triangel av institutioner som nu växer fram i informationssamhället skulle vi kunna ha viss tillförsikt. Som det är nu skyddas integritet och immaterialrätt, men organisationen av det grundvärde som vi alla nog anser att kunskapsfriheten är saknas. Skälet till detta är sannolikt att det inte klassiskt sett funnits ett behov av att organisera detta intresse, och det finns inga privata intressen eller statliga incitament att skapa en särskild myndighet här. De frågor som kunskapsfrihetsombudsmannen skulle hantera hanteras redan till stor del inom andra myndigheter, men det är inte poängen. Poängen är att institutionaliseringen av skyddet för kunskapsfriheten är ett naturligt steg i transformationen till ett informationssamhälle, lika naturligt som införandet av datainspektionen var för litet mer än trettio år sedan.

Utredningsarbetet kan börja.